Cyber sécurité

Un regard sur le nouveau rançongiciel Sugar exigeant de faibles rançons

Une nouvelle opération Sugar Ransomware cible activement les ordinateurs individuels, plutôt que les réseaux d’entreprise, avec de faibles demandes de rançon.

Découvert pour la première fois par l’équipe de sécurité de Walmart, “Sugar” est une nouvelle opération de Ransomware-as-a-Service (RaaS) qui a été lancée en novembre 2021 mais qui s’est lentement accélérée.

Le nom du ransomware est basé sur le site affilié de l’opération découvert par Walmart à ‘sugarpanel[.]espace’.

Contrairement à la plupart des opérations de rançongiciel dont vous avez entendu parler dans les actualités, Sugar ne semble pas cibler les réseaux d’entreprise, mais plutôt les appareils individuels, appartenant probablement aux consommateurs ou aux petites entreprises.

En tant que tel, il n’est pas clair comment le ransomware est distribué ou infecte les victimes.

Le sucre Ransomware

Une fois lancé, Sugar Ransomware se connectera à whatismyipaddress.com et ip2location.com pour obtenir l’adresse IP et l’emplacement géographique de l’appareil.

Il procédera ensuite au téléchargement d’un fichier de 76 Mo à partir de http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat, mais on ne sait pas comment ce fichier est utilisé.

Enfin, il se connectera au serveur de commande et de contrôle de l’opération de ransomware au 179.43.160.195, où il transmet et reçoit les données liées à l’attaque. Le rançongiciel continuera à rappeler le serveur de commande et de contrôle au fur et à mesure de son exécution, mettant probablement à jour le RaaS avec l’état de l’attaque.

Trafic réseau généré par le Sugar Ransomware
Trafic réseau généré par le Sugar Ransomware
La source: BleepingComputer

Lors du chiffrement des fichiers, le rançongiciel chiffrera tous les fichiers sauf ceux répertoriés dans les dossiers suivants ou portant les noms de fichiers suivants :

Excluded folders:

windows
DRIVERS
PerfLogs
temp
boot

Excluded files:

BOOTNXT
bootmgr
pagefile
.exe
.dll
.sys
.lnk
.bat
.cmd
.ttf
.manifest
.ttc
.cat
.msi;

Les chercheurs de Walmart affirment que le rançongiciel crypte les fichiers à l’aide de l’algorithme de cryptage SCOP. Les fichiers cryptés auront le .encodé01 extension ajoutée aux noms de fichiers, comme indiqué ci-dessous.

Fichiers cryptés Sugar avec l'extension .encoded01
Fichiers cryptés Sugar avec l’extension .encoded01
La source: BleepingComputer

Le ransomware créera également des notes de rançon nommées BackFiles_encodé01.txt dans chaque dossier qui a été analysé pour les fichiers sur l’ordinateur.

Cette note de rançon contient des informations sur ce qui est arrivé aux fichiers de la victime, un identifiant unique et un lien vers un site Tor avec des informations sur la façon de payer la rançon. Le site Tor est situé sur chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion.

Note de rançon de sucre
Note de rançon de sucre
La source: BleepingComputer

Lors de la visite du site Tor, la victime se verra présenter sa propre page contenant l’adresse bitcoin pour envoyer une rançon, une section de chat et la possibilité de décrypter cinq fichiers gratuitement.

Site de paiement Sugar Tor
Site de paiement Sugar Tor
La source: BleepingComputer

Les demandes de rançon par cette opération sont très faibles, les attaques vues par BleepingComputer ne demandant que quelques centaines de dollars pour recevoir une clé. Étrangement, sur notre boîte de test, la demande de rançon qui en a résulté n’était que de 0,00009921 bitcoins, d’une valeur de 4,01 $.

Comme BleepingComputer a testé le ransomware sur une machine virtuelle avec un petit nombre de fichiers, cela pourrait indiquer que le ransomware génère des montants de rançon basés sur le nombre de fichiers cryptés.

ransom
Demande de rançon du test de rançongiciel Sugard
La source: BleepingComputer

Contrairement à la plupart des infections de rançongiciels, l’exécutable du logiciel malveillant s’exécute même après la fin du cryptage. Cependant, aucun paramètre de démarrage automatique n’est créé et il ne semble pas continuer à chiffrer de nouveaux documents.

À l’heure actuelle, il n’est pas clair si le rançongiciel présente des faiblesses qui pourraient permettre un décryptage gratuit. Nous mettrons à jour cet article au fur et à mesure que de nouvelles informations seront disponibles.

De plus, si vous êtes affecté par ce rançongiciel, veuillez nous faire savoir comment vous avez été infecté.


Source link

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page